SamSam Ransomware
Tom

Tom

Pas op voor Iraanse SamSam-malware

Meerdere nederlandse bedrijven geïnfecteerd met samsam ransomware

Volgens beveiligingsbedrijf Fox-IT zijn enkele tientallen Nederlandse bedrijven zijn besmet met SamSam ransomware. Fox-IT kan geen precies aantal geven. Het is namelijk niet bekend hoeveel bedrijven het losgeld hebben betaald. Ook is niet bekend of slachtoffers erin geslaagd zijn om zichzelf van de malware te ontdoen. In de USA is het probleem nog veel groter dan in Nederland. Daar is het aantal bekende slachtoffers al boven de tweehonderd gestegen. De schade loopt daar al in de tientallen miljoenen dollars.

De Amerikaanse FBI publiceerde een formele waarschuwing

In de USA loopt een aanklacht tegen twee Iraanse hackers. Het tweetal wordt ervan beschuldigd de malware te hebben gemaakt en verspreid. De Amerikaanse overheid waarschuwt kritische infrastructuurbedrijven zoals ziekenhuizen, wetenschappelijke instellingen en lokale overheden. Zij moeten zichzelf beschermen tegen het SamSam-virus.

De waarschuwing komt een week nadat het ministerie van Justitie deze twee Iraanse staatsburgers in staat van beschuldiging heeft gesteld. Volgens de aanklacht van 28 november van het ministerie van Justitie in de USA zijn meer dan 200 slachtoffers geïnfecteerd door de SamSam ransomware. Slachtoffers zijn onder andere ziekenhuizen, gemeenten en openbare instellingen met een totale schadepost die oploopt tot boven de 30 miljoen dollar.

De vermeende hackers, Mohammad Mansouri en Faramarz Savandi, zullen waarschijnlijk niet worden uitgeleverd aan de Verenigde Staten. De gespannen relatie met Iran verhinderd dit. Desondanks hebben Amerikaanse functionarissen gezegd dat het aanklagen van de hackers zinvol is. Het zal hen in ieder geval beperken in hun reizen en hun financiële handel en wandel beperken.

SamSam versleuteld bestanden

Hoe werkt SamSam Ransomware in het kort:

SamSam gebruikt kwetsbaarheden in RDP-systemen (Remote Desktop Protocol), Java-gebaseerde webservers of FTP-servers (File Transfer Protocol). Naast kwetsbaarheden worden ook brute-force aanvallen tegen zwakke wachtwoorden gebruikt om een ​​eerste voet aan de grond te krijgen. Eenmaal binnen beginnen de makers van de ransomware met activiteiten die destructieve gevolgen kunnen hebben voor de slachtoffers.

SamSam werkt ook structureel anders dan eerdere gijzelsoftware zoals WannaCry en GandCrab. Deze sloegen direct na besmetting toe, vergrendelden bestanden en eisten vervolgens losgeld. De makers van SamSam wachten en bestuderen eerst langere tijd netwerk- en/of gebruikersactiviteiten. De hackers analyseren waar ze het netwerk zijn binnengedrongen en of ze nog dieper in systemen kunnen doordringen.

Daarna verwijdert of saboteert SamSam in stilte de back-ups, om te voorkomen dat een bedrijf de besmetting ongedaan kan maken. Zodra dit gebeurd is slaat SamSam toe en worden de bestanden vergrendeld.

De aanvallers doen dit om uiteindelijk zoveel mogelijk schade aan te richten en zoveel mogelijk gegevens onbereikbaar te maken.

SamSam sluipt naar binnen

Slachtoffers

Slachtoffers bevinden zich (nu nog) voornamelijk in de Verenigde Staten, maar het aantal stijgt ook in andere landen. Zoals in de inleiding al vermeld geeft Fox-IT aan dat er in Nederland al enkele 10-tallen SamSam slachtoffers zijn. Het ultieme doel van de hackers is om een ​​succesvolle inbraak door middel van ransomware in financieel gewin om te zetten.

SamSam laat losgeldberichten achter op gegijzelde computers. De instructies luiden vervolgens dat slachtoffers contact moeten leggen via een TOR-verborgen servicesite. Nadat contact is gelegd en het losgeld in Bitcoin is betaald, ontvangen slachtoffers meestal links om cryptografische sleutels en hulpmiddelen te downloaden om hun computers en bestanden te decoderen.

Wat kunnen bedrijven doen om zich te beschermen

Sterke wachtwoorden, 2FA (2-factor authenticatie) en het bijgewerkt houden van computers en servers is de beste verdediging tegen de SamSam-malware.

SamSam: Opvolger van Petya en WannaCry

SamSam is niet de eerste software die systemen gijzelt en vervolgens losgeld eist. WannaCry (mei 2017), Petya (juni 2017), BAD RABBIT (oktober 2017) en GANDCRAB (januari 2018) gingen SamSam eerder al voor.

Zie ook:

Deel deze post op:

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest

Blog Archief

Selecteer een maand

Zoek in het archief

Stel een vraag